Rollen und Berechtigungen für Azure Virtual WAN
Der Virtual WAN-Hub nutzt mehrere zugrunde liegende Ressourcen sowohl bei Erstellungs- als auch bei Verwaltungsvorgängen. Aus diesem Grund ist es wichtig, die Berechtigungen für alle beteiligten Ressourcen während dieser Vorgänge zu überprüfen.
Integrierte Azure-Rollen
Sie können einem Benutzer, einer Gruppe, einem Dienstprinzipal oder einer verwalteten Identität integrierte Azure-Rollen wie Netzwerkmitwirkender zuweisen, die alle erforderlichen Berechtigungen zum Erstellen des Gateways bieten. Weitere Informationen finden Sie unter Schritte zum Hinzufügen einer Rollenzuweisung.
Benutzerdefinierte Rollen
Wenn die integrierten Azure-Rollen die Anforderungen Ihrer Organisation nicht erfüllen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen. Genauso wie integrierte Rollen können auch benutzerdefinierte Rollen Benutzern, Gruppen und Dienstprinzipalen im Verwaltungsgruppen-, Abonnement- und Ressourcengruppenbereich zugewiesen werden. Weitere Informationen finden Sie unter Schritte zum Erstellen einer benutzerdefinierten Rolle.
Um die ordnungsgemäße Funktionalität sicherzustellen, überprüfen Sie Ihre benutzerdefinierten Rollenberechtigungen, um zu bestätigen, dass Benutzerdienstprinzipale und verwaltete Identitäten, die das VPN Gateway betreiben, über die erforderlichen Berechtigungen verfügen. Weitere Informationen zum Hinzufügen fehlender Berechtigungen, die hier aufgeführt sind, finden Sie unter Aktualisieren einer benutzerdefinierten Rolle.
Berechtigungen
Fügen Sie beim Erstellen oder Aktualisieren der unten aufgeführten Ressourcen die entsprechenden Berechtigungen aus der folgenden Liste hinzu:
Ressourcen für virtuellen Hub
| Resource | Erforderliche Azure-Berechtigungen |
|---|---|
| virtualHubs | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualWans/join/action |
| virtualHubs/hubVirtualNetworkConnections | Microsoft.Network/virtualNetworks/peer/action Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
| virtualHubs/bgpConnections | Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read |
| virtualHubs/hubRouteTables | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/virtualHubs/hubVirtualNetworkConnections/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
| virtualHubs/routingIntent | Microsoft.Network/securityPartnerProviders/read Microsoft.Network/networkVirtualAppliances/read Microsoft.Network/azurefirewalls/read |
ExpressRoute-Gatewayressourcen
| Resource | Erforderliche Azure-Berechtigungen |
|---|---|
| expressroutegateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteGateways/expressRouteConnections/read Microsoft.Network/expressRouteCircuits/join/action |
| expressRouteGateways/expressRouteConnections | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/expressRouteCircuits/join/action |
VPN-Ressourcen
| Resource | Erforderliche Azure-Berechtigungen |
|---|---|
| p2svpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnServerConfigurations/read |
| p2sVpnGateways/p2sConnectionConfigurations | Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read |
| vpngateways | Microsoft.Network/virtualHubs/read Microsoft.Network/virtualHubs/hubRouteTables/read Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/vpnGateways/vpnConnections/read |
| vpnsites | Microsoft.Network/virtualWans/read |
NVA-Ressourcen
NVAs (Network Virtual Appliances, virtuelle Netzwerkappliances) werden in Virtual WAN in der Regel über mit Azure verwaltete Anwendungen oder direkt über die NVA-Orchestrierungssoftware bereitgestellt. Weitere Informationen zum ordnungsgemäßen Zuweisen von Berechtigungen für verwaltete Anwendungen oder NVA-Orchestrierungssoftware finden Sie in den Anweisungen hier.
| Resource | Erforderliche Azure-Berechtigungen |
|---|---|
| networkVirtualAppliances | Microsoft.Network/virtualHubs/read |
| networkVirtualAppliances/networkVirtualApplianceConnections | Microsoft.Network/virtualHubs/routeMaps/read Microsoft.Network/virtualHubs/hubRouteTables/read |
Weitere Informationen finden Sie unter Azure-Berechtigungen für Netzwerke und VNet-Berechtigungen.
Geltungsbereich von Rollen
Während des Definierens benutzerdefinierter Rollen können Sie einen Geltungsbereich für Rollenzuweisungen auf vier Ebenen angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Sie weisen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten für einen bestimmten Bereich Rollen zu, um diesen Zugriff zu gewähren.
Diese Bereiche sind als Beziehung zwischen über- und untergeordneten Elementen strukturiert, wobei jede Hierarchieebene den Bereich spezifischer macht. Sie können Rollen auf einer dieser Ebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie weiträumig die Rolle angewandt wird.
Beispielsweise kann eine auf Abonnementebene zugewiesene Rolle auf alle Ressourcen innerhalb dieses Abonnements angewandt werden, während eine Rolle, die auf Ressourcengruppenebene zugewiesen wird, nur für Ressourcen innerhalb dieser Gruppe gilt. Weitere Informationen zur Geltungsbereichsebene finden Sie unter Bereichsebenen.
Hinweis
Möglicherweise müssen Sie nach Änderungen der Rollenzuweisung einige Zeit für die Aktualisierung des Azure Resource Manager-Caches einplanen.
Weitere Dienste
Informationen zu Rollen und Berechtigungen für andere Dienste finden Sie unter den folgenden Links: